シスコシステムズ中村氏に聞く「セキュリティアセスメントワークショップ」が必要な理由とは？

菅野 それでは、改めて「セキュリティアセスメントワークショップ」の概要について教えてください。

中村 お客様におけるセキュリティ対策の状況を可視化するワークショップです。大きく分けて以下の2部構成になっています。
・前半：セキュリティ対策のトレンド解説セミナー受講
・後半；CISA（Cybersecurity and Infrastructure Security Agency：米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁）のゼロトラストセキュリティ成熟度モデルに基づいたアンケートに回答いただき、後日、アンケートの結果を分析したレポートをもとに、ディーアイエスサービス＆ソリューションとディスカッションを行っていただきます。

菅野 本ワークショップを実施する目的は何でしょうか？

中村 「セキュリティアセスメントワークショップ」の分析結果を、稟議の際の説明材料に使っていただきたいのです。いまやサイバー攻撃は業界、企業規模とは関係なく、どの企業にもリスクとして存在しています。しかし、情報システム部門の方から、「対策はしたいけど、具体的な対策や経営層への説明の仕方が分からない」というお嘆きを聞くことが少なくありません。

菅野 分かります。私もお客様からよくそのようなお声をいただきます。

中村 そうした情報システム部門の悩み解決するために、現在のセキュリティ対策状況を可視化し、自社に合った対策を見つける「道しるべ」となることを目指しています。もちろん、既に多くの企業でセキュリティ対策の一環としてセキュリティアセスメントが実施されていることと思います。しかし、それらのセキュリティアセスメントは、業界や取引先からの要請あるいは企業としての開示責任といった「コンプライアンス対応」の側面が強い傾向があります。この場合、コンプライアンスの確認で終わってしまい、その先のシステムにおける具体的な対策に進むことが少ないように感じます。

菅野 そうですよね。なかなか具体的な対策まで話が進まず、結局「アセスメント」のための「アセスメント」で終わってしまっているお客様がいらっしゃいます。

中村 これに対し、弊社の「セキュリティアセスメントワークショップ」は具体的な対策を導き出すことができます。経営層への説得材料に、「セキュリティアセスメントワークショップ」を役立てもらえると幸いです。

菅野 「セキュリティアセスメントワークショップ」は日本独自の取り組みなのですか？

中村 いいえ、グローバルで実施しているプログラムのひとつです。もちろん、日本の脅威の状況や法律、マーケットなどに合わせて言語だけでなく、文化的にもローカライズして実施しています。お客様がセキュリティ対策の戦略およびゼロトラストのフレームワークを立案する一助になればと考えています。

菅野 そうなのですね。ということは、「セキュリティワークショップ」に参加すれば、セキュリティ対策の課題解決とゼロトラストの推進ができるということでしょうか？

中村 はい、そうです。ただし短絡的なものではありません。先ほども申し上げたように、お客様のセキュリティ対策の現在地を把握することこそが、「セキュリティアセスメントワークショップ」を実施する最大の理由であって、「ここに問題があるからこの製品を導入しましょう」といったセールストークを展開するものではありません。

菅野 なるほど。私も普段の営業活動で気をつけていることでもありますね。

中村 まずは「お客様に気づいてもらう」というのが狙いです。お客様と弊社、そしてディーアイエスサービス＆ソリューションが同じ認識を持ったうえで、「どこに投資をすれば効率的にセキュリティ強度を上げられるか」を出発点に、ゆくゆくはゼロトラストのフレームワークづくりに踏み出す提案ができればと考えています。

菅野 確かにそうですね。弊社はお付き合いさせていただいているお客様の環境を、導入背景や検討しているソリューションまで十分に理解しています。だからこそたとえば、セキュリティ対策のディスカッションで「ランサムウェア対策をしたい」 → 「EDRを入れたら大丈夫です」というような簡単な提案はしないようにしています。避けたいのは、EDRを導入することが目的になってしまうことで、まずは
・お客様の業務を見据えたうえでの必要な対策とは何か
・どういう順序で導入していくか
などを十分に検証する必要があります。その検証において、「セキュリティアセスメントワークショップ」の分析結果は、「客観的なアドバイスである」と言えます。

中村 「セキュリティアセスメントワークショップ」における可視化とは、お客様のセキュリティ対策を俯瞰して見たときにどれくらいの効果を発揮しているのか、それを把握できることを指します。これが分かれば、次のセキュリティ対策はよりピンポイントに投資できるはずです。

菅野 「セキュリティアセスメントワークショップ」にご参加いただいたお客様は、セキュリティ対策の現状を可視化できたこと、具体的な対策が見えてきたことで、次のステップに進むモチベーションが高まったと感じます。実際に、以下のようなお声をいただいています。

• 非常に勉強になりました。
• 既存の環境を見直すきっかけになりました。
• 導入済みのセキュリティ対策が十分に活用しきれていないことが分かりました。
• 今後、より強固なセキュリティ対策を目指すための気づきを得ました。
• 導入済みのセキュリティ対策の運用改善に向けて前向きな気持ちになりました。

そして、レポートをもとにお客様とディスカッションすることが次のステップです。レポートには「セキュリティアセスメントワークショップ」の分析結果が具体的かつ詳細にまとめられていて、なかでも現状のセキュリティ対策の効果度合いが分かるヒートマップは、ディスカッションするうえでの重要な資料になると思います。

たとえば、ヒートマップの運用できている（グリーン）、運用できていない（レッド）のところをお客様とともに検証することが多々あります。レッドの理由を詳しくヒアリングし、また、グリーンの場合でも正しく運用・管理できているか再確認させていただきます。その検証のなかでオペレーションに問題がある場合は、基本となるログの見方をレクチャーすることもあります。ただし、すべてを見るには専門的な知識が必要で時間もかかりますから、本当に必要な部分の見方やログが意味するものを端的にお伝えする形になります。

中村 お客様がセキュリティ強化に対して前向きになることに貢献できていて嬉しく思います。弊社はどうしてもスイッチやルータのベンダーのイメージを持たれることが多いのですが、セキュリティベンダーとしても今後ますますお客様のセキュリティ強化に貢献したいと思います。弊社のソリューションであれば、お客様に必要な情報は全て単一のダッシュボードで閲覧が可能です。お客様ご自身でインシデントレスポンスまで対応することができます。運用方法が分からない場合は、ディーアイエスサービス＆ソリューションが手取り足取り教えてくれるはずです。

菅野 ゼロトラストは単発で場当たり的に行っても大きな成果は得られません。やはりフレームワークに則った形で対応していくことが何よりも重要だと考えています。「セキュリティアセスメントワークショップ」はそのための足掛かりです。自社のセキュリティ対策の現在地を知って、私たちと一緒にゼロトラストのフレームワークづくりに取り組んでいきましょう。

中村 グローバルでは、ゼロトラスト戦略を導入している、あるいは導入予定の企業はかなりの勢いで増加しています。これは弊社だけでなく他社のレポートからも明らかです。近年の複雑化するITインフラストラクチャと増え続けるサイバー攻撃の状況を鑑みると、この勢いは止まりません。ゼロトラスト導入時の課題や負担があったとしても日本だけがそれにブレーキかける理由はありません。自社のセキュリティ対策に不安があり、少しでもゼロトラストに興味をお持ちでしたら、ぜひ「セキュリティアセスメントワークショップ」にお気軽にご参加ください。皆さまのご参加をお待ちしています。